Het gebruik van cloud-oplossingen in het bedrijfsleven is dit jaar sterk toegenomen. Dat is geen verrassing, want de coronacrisis maakte al snel duidelijk dat het via de cloud een stuk eenvoudiger is om werknemers vanuit huis te laten werken. Maar naast gemak, brengt de cloud ook zorgen met zich mee. Meer dan een kwart van de Nederlanders vindt het namelijk een eng idee om data op te slaan in de cloud. Dit blijkt uit onderzoek van softwarebedrijf Klippa. Nog eens een derde denkt dat data op een lokale server opslaan veiliger is dan in de cloud. Is dat wel zo?
Momenteel maakt ruim zestig procent van klanten van msp’s gebruik van Microsoft 365-clouddiensten, blijkt uit het onderzoek ‘Global State of the MSP Report 2020’. Van de respondenten die dit gebruik nu nog niet zien, verwacht zeventig procent dat klanten alsnog binnen twee jaar zullen volgen. Een veel voorkomende misvatting van organisaties is dat hun saas-data automatisch wordt beschermd. Saas-leveranciers benadrukken echter het belang van eigen beveiliging bij deze systemen. Daarom bevelen ze diverse oplossingen aan om te zorgen voor gegevensbescherming, bedrijfscontinuïteit, compliance en beveiligingseisen die verder gaan dan de beperkte, eigen recovery-mogelijkheden van Microsoft 365 en G Suite. Zorgen om de veiligheid van data in de cloud zijn dus niet ongegrond.
Arbeidsintensief
Uit het onderzoek van softwarebedrijf Klippa bleek dat bij de overheid, het onderwijs en de gezondheidszorg de grootste hang is naar het gebruik van lokale servers (met respectievelijk 43, 32 en 30 procent). Het is echter niet zo dat zorgen niet meer nodig zijn als je data op lokale servers draait. Of het nu in de cloud is of on-premise, het hangt ervan af wie de it-omgeving beheert en hoe dit wordt aangepakt. Het is extreem tijdrovend en arbeidsintensief om een on-premise-omgeving te beveiligen. Het in de gaten houden van de netwerkactiviteit, het toepassen van beveiligingspatches en het maken van geweldige back-ups is hard werken.
Daarom zijn cloudproviders (saas) die dit voor veel klanten doen over het algemeen beter in staat om it veilig te houden dan on-premise-systeembeheerders. Hoewel het voor cloudproviders makkelijker is om it veilig te houden, is het zeker mogelijk om on-premise hetzelfde te bereiken. Organisaties kunnen investeren in een beveiligingsteam om deze inspanning op zich te nemen: een team in-house of met hulp van een partner. Dit kan hen op een vergelijkbaar beveiligingsniveau brengen als oplossingen die in de cloud draaien.
Dat we ons bewust zijn dat er een risico bestaat bij het opslaan van data in de cloud, is een goed teken. Bewustzijn is immers de eerste stap. De oplossing is echter niet per se de lokale server. Een volwassen security en recovery-plan blijft het allerbelangrijkste, waar je data ook draaien.
Matthé Smit, directeur product management, RMM bij Datto
Nee, veiligheid begint niet bij IT-beheer. Veiligheid begint bij informatie-beheer. Een computer zonder informatie is een nutteloze computer (ICS-SCADA even buiten beschouwing gelaten). Het draait allemaal om de informatie. Het vakgebied heet daarom ook informatiebeveiliging en niet IT-beveiliging. Zicht hebben op welke informatie je in huis hebt, wat die informatie precies waard is, waar die informatie zich bevindt, wie daar toegang tot heeft, wie daar wat mee doet, dat zijn de vragen die je jezelf als eerste moet afvragen. Als je dat goed doet, dan komen daar eisen voor de verwerking en de beveiliging uit, waar IT-beveiligingseisen onderdeel van zijn. IT-beveiliging komt, als je het goed doet, dus aan het einde aan bod, niet als eerste.
Sinds de komst van outsourcing en de doorontwikkeling daarvan in technologie als cloud, is er een discussie gaande over wie nu uiteindelijk verantwoordelijk is voor de dienstverlening van je eigen producten en diensten. Daar ben ik heel kort in, dat ben jezelf. Dus elke organisatie is verantwoordelijk voor alle aspecten van de producten en diensten die je aanbiedt aan klanten, inwoners en bedrijven of andere organisaties. Dat gezegd hebbende, betekent het ook dat als je delen van de onderdelen die jouw producten en diensten vormgeven, uitbesteed, in welke vorm dan ook, jijzelf ook nog steeds de eindverantwoordelijkheid hebt over het resultaat van de uitbestede diensten en producten. Er zijn wat mij betreft twee soorten van verantwoordelijkheid:
– aansprakelijkheid (juridisering)
– inhoudelijk (kwaliteit van de keten)
Indien je alles zelf in-house maakt en ontwikkelt liggen beide bij jou, hoewel je niet de aansprakelijkheid van grondstoffen compleet zelf kan dragen. Het niet kunnen leveren van jouw product, omdat er een wereldwijde schaarste aan een essentieel ingrediënt, kan je niet compleet zelf opvangen.
Indien je wel grote delen uitbesteed kun je alles wel denken dichtgetimmerd te hebben met contracten, maar of je daar het concrete probleem mee gaat oplossen is maar de vraag. Weken of maanden juridisch getouwtrek gaat het hem niet worden als je vandaag geholpen wil worden.
De oplossing voor de applicatie en data is eigenlijk heel eenvoudig. De vraag is of de cloudmarkt daar open voor staat. Voor de cloudifisering en outsourcing van software, bestond en bestaat er zo iets als ESCROW. Daar heb je helemaal niets aan. Leuk hoor dat alle klanten van een failliete softwareboer alle broncode krijgt. Maar als ik die software NU draaiend moet hebben, anders valt mij toko om, is het puur windowdressing. Buiten het feit dat het heel complex is om broncode met klanten gezamenlijk weer operationeel te hebben.
Ik zou pleiten voor het volgende. Bij een majeure applicatie (dus geen tooltje of iets dergelijks, ik denk dat aan het financiële pakket, of de hrm applicatie, maar nog beter een applicatie die het primaire proces van de organisatie ondersteund) wordt door de SaaS-leverancier (en dan denk ik aan een volwaardige, dus multi-tenant, single source, met CD/CI straat) een slapende (dormant) omgeving georganiseerd (buiten de eigen juridische entiteit om) waarin een spiegel van de applicatie, inclusief CD/CI straat, volledig gedocumenteerd tot de laatste stand van zaken, wat mij betreft tot gisteren) met alle klantdata beschikbaar is. Bij een faillissement kunnen alle klanten snel en overgaan op de werking van de laatst beschikbare kopie. Daarmee koop je tijd om kennis en kunde in te vliegen om zo snel mogelijk het beheer en ontwikkeling weer ter hand te nemen.
Overigens hoor ik roepen dat Microsoft, Google en Amazon nooit om kunnen vallen. Ik kan heel flauw eindigen door te aan te geven dat een heel klein microscopisch deeltje, de complete wereldeconomie op tilt zet. Geen enkele organisatie is onfeilbaar en onmisbaar.
“Een volwassen security en recovery-plan blijft het allerbelangrijkste, waar je data ook draaien.”
dat is waar en dat je dan een doosje in de serverruimte zelf hebt of dat dat via een vaak langzamer extern netwerk naar een provider gaat is niet meer zo belangrijk eigenlijk als de werkelijke zorg eerder op het GDRP/AVG v americaanse Privacy Shield ACT vlak ligt. Die laatste is recentelijk afgeschoten, een reïncarnatie zijnde van de Safe Harbour die ook al afgeschoten was om vrijwel dezelfde redenen.
https://en.wikipedia.org/wiki/EU–US_Privacy_Shield
Kun je het voorstellen: een academisch ziekenhuis met medische /onderzoekgegevens in de cloud bij een americaanse toko?
@Hugo
noem mij eens voorbeelden van te beheren informatie zonder IT.
Om te beginnen bij de reacties, Hugo heeft gelijk maar omdat we typemachines en carbonpapier ingewisseld hebben voor digitale equivalenten zit veel informatie ingesloten in data. Hierdoor is informatiebeveiliging veelal synoniem aan data beveiliging waarbij je maatregelen neemt tegen allerlei risico’s die kunnen leiden tot dataverlies. En een veel voorkomend verlies is het gevolg van gebruikersfouten zoals het per ongeluk weggooien van 9.000 dossiers. Foutje, bedankt maar gelukkig haddden we de back-up nog.
Of toch niet want vaak is er geen kopie van het digitale archief. Verder blijkt uit de vele gesprekken met verantwoordelijken voor de informatiebeveiliging dat digitale archieven en AVG nog altijd hoofdpijn opleveren omdat de backup hiervoor vaak misbruikt wordt en die is vaak niet zo fijnmazig dat je kunt voldoen aan het recht op verwijdering als er geen rechtmatigheid meer is voor het bewaren van persoonsgegevens. Ik weet niet wat Datto RMM kan betekenen in het classificeren van data maar de achterdeur van de back-up lijkt me daarin wel de beste mogelijkheden te geven.
Atilla begint een heel verhaal over juridisering van verantwoordelijkheden maar ervaring leert dat de back-up veelal een organisatorische wees is, 90% van de datalekken komt vooruit uit een vergeten kopie. Dat kunnen dus ook low-tech fouten zijn zoals USB disks die rondslingeren in kofferbakken of schijven die niet gewist zijn en hergebruikt worden. Laatste is natuurlijk iets dat je niet alleen op moet nemen in de contracten als je de cloud in gaat maar eigenlijk ook moet controleren, zo’n 40% van mijn klanten vernietigen deze daarom zelf. Verder neemt de vraag naar FIPS compliant SED drives ook steeds meer toe en ik zie dat deze vraag ook steeds meer gaat gelden voor cloud opslag.
Om de vraag van SWA te beantwoorden is het antwoord geen probleem mits je maatregelen neemt zoals encryptie van de data middels sleutels die je in eigen beheer hebt. Ook hier weet ik niet wat Datto RMM te bieden heeft maar misschien dat de directeur product management de onduidelijkheden in kan vullen. Verder is het maken van back-ups geen hard werken meer sinds we schijven packs niet meer in brandwerende kluizen hoeven te stoppen. Oja, bij academische ziekenhuizen slingert veel data rond op NAS/USB devices welke niet fysiek beveiligd zijn of versleuteld.
@Hugo:
Uiteraard begint veiligheid bij IT-infrastructuur en niet bij classificatie van data. Ten eerste zijn er slechts weinig mensen die een idee hebben van de waarde van de data en zijn de classificatiecriteria en waarden vaak onduidelijk en fuzzy.
Die “nutteloze”computers hebben allemaal een duidelijke functie binnen de IT-infrastructuur en moeten uiteraard allemaal worden meegenomen in een alomvattend security plan dat zich richt op de zwakkere punten binnen de IT-Infrastructuur.
Het gaat om de beschikbaarheid van die data en niet om de intrinsieke “waarde” van data. Als een DDoS attack ervoor zorgt dat je dagenlang geen orders binnenkrijgt ben je als bedrijf snel failliet. Ransomware al dan niet binnengekregen via een dubieuze mail geopent door een achteloze medewerker, een rootkit geinstalleerd door een omgekocht personeelslid, het zijn allemaal zaken waar dataclassificatie niets aan kan verhelpen.
@oudlid
“Om de vraag van SWA te beantwoorden is het antwoord geen probleem mits je maatregelen neemt zoals encryptie van de data middels sleutels die je in eigen beheer hebt. … Oja, bij academische ziekenhuizen slingert veel data rond op NAS/USB devices welke niet fysiek beveiligd zijn of versleuteld. ”
De Amerikaanse wet accepteert niet dat jij onbreekbare encryptie gebruikt in de cloud op een server van een Amerikaans bedrijf. De cloud toko wordt gedwongen de data te decrypten of andere truuks uit te halen op basis van dwangsommen etc. Dat is wat de FBI doet bij MS en Google en we krijgen via openbaringen natuurlijk vaak maar een tipje van de sluijer gelicht. Wat er in het geheim wel lukt, krijgen we vaak niet te weten hier.
Dus, om NAS-en en USB sticks in NL in een ziekenhuis, in handen van FBI te krijgen, hetgeen dus tegen de AVG gaat want daarvoor was de data niet bedoeld om op te slaan en heeft geen mens van te voren expliciet toestemming voor gegeven, moet je minstens naar NL komen en het ziekenhuis in gaan en de analoge reguliere beveiligings maatregelen doorbreken. Niet dat dat onmogelijk is, maar in mijn ervaring hebben mensen toch vlugger iets door dat iets niet juist is in de analoge wereld dan als er een computer mee gemoeid is. Die geven door hun ‘magie’ (velen lagen van voor velen een ondoorgrondbare techniek) een vals gevoel van veiligheid. Bovendien heb je dan met CIA te maken ipv FBI en geldt dat gewoonweg als spionage in een ander land. Er zijn dus nog wel flink wat verschillen tussen de twee situaties die jij probeert weg te pareren alsof het NAS-je/USB stickje oud, passe en “niet meer van deze tijd” zou zijn.
Kortom, mijn stelling om de Big Tech [de Amerikaanse cloud tokos dus] te vermeiden [en dus een eigen data center /server in NL te hebben] ivm AVG/GDPR heb je in mijn ogen hiermee niet van tafel gehaald.
SWA,
De Amerikaanse overheid is betreffende encryptie niet het probleem als ik kijk naar het risico van ransomware. En stellen dat je fysiek bij ziekenhuizen langs moet is vanuit Shonan bekeken onzin als kwetsbare (QSnatch?) NAS devices rechtstreeks met internet zijn verbonden. Verder houdt de Nederlandse zorgketen niet op bij de deur van het ziekenhuis en gaat er nog veel mis in het delen van informatie waardoor de sector nog altijd met stip op één staat als het om dataverlies gaat.
Het is Shodan .. en als “NAS devices rechtstreeks met internet verbonden zijn”, dan denk ik niet dat Hugo gelijk heeft.
KJ,
Excuses, het is inderdaad Shodan.io maar ik denk dat lezers wel de strekking begrijpen van TCP/IP fingerprinting om remote eventuele zwakheden op te sporen zoals systemen die niet gepatched zijn. Want het risico dat hackers een Nederlands ziekhuis aanvallen met ransomware lijkt me groter dan dat de Amerikaanse overheid medische informatie van een patiënt probeert te verkrijgen. En betreffende het vijandbeeld dat ingegeven wordt door een politieke agenda zou ik me eerder zorgen maken over de spionage binnen de academische wereld door andere (midden) Oosterse landen. Verder heeft Hugo natuurlijk nog steeds gelijk als de digitale informatie op een analoge informatiedrager gedrukt wordt, veelal ontsleuteld en voor iedereen leesbaar. Oja, het exportverbod voor encryptie werd ooit omzeild door de broncode van PGP als boek te publiceren.